面对日益增多的针对开源软件的攻击,大公司正在介入,用免费的服务和工具帮助开发者提高网络安全。Google为开发者发布了一个新的工具,该工具可以自动保护项目的过程,并验证属性,以确保项目的安全性没有受到影响。这个新的安全工具被称为AllStars,旨在运行测试以确定关键方面是否被改变。
Google AllStars工程负责人Jeff Mendoza表示,AllStars与另一个名为Scorecard的Google工具相结合,为项目维护者提供了保护。如果开发者愿意,他们可以使用Scorecard来评估他们的情况,然后用AllStars自动执行适当的政策。
根据18个不同的标准,Scorecard对项目进行评估,例如它们是否自动更新依赖关系,是否积极维护,以及是否采用自动漏洞发现方法来识别容易发现的缺陷。
根据OpenSSF的公告,Google在周一提供了这个工具,作为维护一个任何人都可以使用的AllStar实例的努力的一部分。该软件跟踪GitHub仓库并检查项目,以确保没有不需要的改动。配置设置与项目的安全策略进行比较,如果不匹配,可以采取应对措施。
Mendoza说:"随着开源的巨大普及,攻击者将被破坏的开发中的项目视为渗透到封闭和开放系统的一种方式。由于很少有实时运行的开源安全系统,在攻击面向供应链方面的时候就会变得非常凶险:要么代码库容易被破坏,要么在代码和项目会被建立并在其他系统上使用的地方注入一个破坏性因素。
了解更多:
https://openssf.org/blog/2021/08/11/introducing-the-allstar-github-app/
(举报)
